ฤดูกาล
กระดานผู้นำ
ข่าวสาร
เรียนรู้
การวิจัย
อันดับ
ระบบนิเวศ
กระเป๋าเงิน

เหตุใดสะพานข้ามเชนยังมีคนใช้ ทั้งที่ถูกดูดเงินออกซ้ำแล้วซ้ำเล่า?

profile-alexey-bondarev
Alexey Bondarev3 ชั่วโมงที่แล้ว
#แฮกเกอร์
เหตุใดสะพานข้ามเชนยังมีคนใช้ ทั้งที่ถูกดูดเงินออกซ้ำแล้วซ้ำเล่า?

สะพานข้ามเชน (cross-chain bridges) โอนย้ายสินทรัพย์มูลค่าหลายพันล้านดอลลาร์ทุกสัปดาห์ พวกมันเชื่อมบล็อกเชนที่เดิมทีถูกออกแบบมาให้ไม่จำเป็นต้องสื่อสารกัน

แต่มันก็เป็นหมวดหมู่ที่ถูกเจาะโจมตีมากที่สุดอย่างต่อเนื่องในโลกการเงินแบบกระจายศูนย์ (DeFi)

ในเดือนพฤษภาคม 2026 สะพานข้ามเชนคิดเป็นมูลค่าความสูญเสียราว 28.6 ล้านดอลลาร์ จากยอดความเสียหายจากการเจาะระบบคริปโตทั้งหมดราว 70 ล้านดอลลาร์ในเดือนนั้น คิดเป็น 42% ของความเสียหายทั้งหมด จากหมวดโปรโตคอลที่ถือมูลค่า TVL รวมของ DeFi เพียงส่วนหนึ่งเท่านั้น

อัตราส่วนนี้ไม่ใช่เรื่องผิดปกติชั่วคราว

ตั้งแต่ปี 2021 สะพานข้ามเชนได้ถูกระบุว่าเป็นต้นเหตุของความสูญเสียแบบ “ครั้งเดียวแต่มูลค่าสูงมาก” ของอุตสาหกรรมในสัดส่วนที่สูงผิดปกติ รายชื่อนี้รวมถึงการเจาะระบบ Ronin มูลค่า 624 ล้านดอลลาร์ในเดือนมีนาคม 2022 การขโมย Wormhole มูลค่า 320 ล้านดอลลาร์ในเดือนก่อนหน้า และการแฮ็ก Nomad มูลค่า 190 ล้านดอลลาร์ในเดือนสิงหาคม 2022

รูปแบบเหล่านี้ยังไม่ยุติลง

สถาปัตยกรรมแบบเดียวกันที่ทำให้สะพานเป็นไปได้ ก็ทำให้มันเปราะบางเป็นพิเศษด้วย การอุดช่องว่างนี้หมายถึงการต้องคิดใหม่เกี่ยวกับสมมติฐานเชิงออกแบบระดับรากฐานหลายอย่างของคริปโต

TL;DR

  • สะพานข้ามเชนทำให้สูญเงิน 28.6 ล้านดอลลาร์ จากยอดความเสียหายการเจาะระบบคริปโตราว 70 ล้านดอลลาร์ในเดือนพฤษภาคม 2026 คิดเป็น 42% จากหมวดโปรโตคอลเดียว
  • การโจมตีสะพานแตกต่างเชิงโครงสร้างจากการแฮ็ก smart contract ทั่วไป เพราะต้องอาศัยการเชื่อถือ state จากเชนต้นทางที่เชนปลายทางตรวจสอบเองตามธรรมชาติไม่ได้
  • สะพานแบบ zero-knowledge proof และระบบตรวจสอบแบบ optimistic นำเสนอวิธีลดความเสี่ยงที่น่าเชื่อถือ แต่ทั้งคู่ยังไม่ได้ถูกใช้งานในระดับที่ใหญ่พอจะแทนที่ดีไซน์ที่เปราะบางในปัจจุบันได้

ทำไมสะพานข้ามเชนถึงเกิดขึ้น และมันทำอะไรจริง ๆ

ระบบนิเวศบล็อกเชนถูกสร้างขึ้นแบบแยกส่วน

Bitcoin (BTC) ถูกออกแบบให้เป็นระบบปิดของตัวเอง Ethereum (ETH) ถูกสร้างแยกออกมาต่างหาก ทุกเครือข่ายเลเยอร์ 2 เชนสำหรับแอปพลิเคชัน และเลเยอร์ 1 ทางเลือกที่ตามมา ล้วนเพิ่มสภาพแวดล้อมการชำระธุรกรรมที่โดดเดี่ยวอีกชุดหนึ่งเข้าไป

ผู้ใช้และโปรโตคอลที่ต้องการย้ายมูลค่าข้ามสภาพแวดล้อมเหล่านี้จำเป็นต้องมีโครงสร้างพื้นฐานเชื่อมต่อ ซึ่งก็คือ “สะพานข้ามเชน”

ในระดับพื้นฐานที่สุด สะพานทำงานด้วยการล็อกหรือเบิร์นสินทรัพย์บนเชนต้นทาง และ mint โทเค็นตัวแทนบนเชนปลายทางให้มีมูลค่าที่สอดคล้องกัน ประเด็นคือตัวสัญญา mint โทเค็นบนเชนปลายทางต้อง “เชื่อ” ว่าการล็อกหรือเบิร์นบนเชนต้นทางเกิดขึ้นจริง

การสร้าง “ความเชื่อถือ” นี้คือปัญหาทางเทคนิคทั้งหมดของสะพาน

เชนหนึ่งไม่มีความสามารถโดยธรรมชาติในการอ่าน state ของอีกเชนหนึ่ง ดังนั้นสะพานจึงต้องพึ่งกลไกภายนอกในการส่งต่อ (relay) และตรวจสอบ (verify) ข้อความข้ามเชน

แก่นของปัญหาความปลอดภัยของสะพานไม่ใช่บั๊กในสัญญาเดียว แต่มาจากข้อจำกัดเชิงสถาปัตยกรรมพื้นฐาน: บล็อกเชนหนึ่งไม่สามารถตรวจสอบได้เองโดยธรรมชาติว่าอะไรเกิดขึ้นบนอีกบล็อกเชนหนึ่ง

กลไกภายนอกเหล่านี้มีหลายรูปแบบ สะพานที่ตรวจสอบจากภายนอก (externally validated bridges) ใช้ชุด validator หรือ multisig signer ที่ทำหน้าที่รับรองเหตุการณ์ข้ามเชน สะพานที่ตรวจสอบในพื้นที่ (locally verified) เช่น atomic swap ต้องอาศัยการกระทำของทั้งสองฝ่าย ทำให้ทั่วไปน้อยลง สะพานที่ตรวจสอบแบบ native ใช้ light client ของเชนต้นทางที่รันอยู่ใน virtual machine ของเชนปลายทาง ซึ่งกินทรัพยากรสูงในเชิงเทคนิค ดีไซน์แต่ละแบบมาพร้อมสมมติฐานเรื่องความเชื่อถือที่แตกต่างกัน และในทางปฏิบัติ สะพานส่วนใหญ่ที่ถูกนำไปใช้ในสเกลใหญ่เลือก “ความเร็วและต้นทุนต่ำ” แทน “ความเข้มงวดด้านคริปโตกราฟี”

อ่านเพิ่มเติม: Hyperliquid Hits $1B In Daily Volume As Perp DEX Competition Intensifies

(Image: Shutterstock)

แผนผังการโจมตี: วิธีที่สะพานถูกดูดเงินออกจริง ๆ

การโจมตีสะพานไม่ได้มีแค่รูปแบบเดียว

นักวิจัยที่ Immunefi ได้จัดหมวดหมู่การแฮ็กสะพานออกเป็นสามประเภทหลัก ๆ ได้แก่ ช่องโหว่ smart contract ในโค้ดของสะพานเอง การเจาะระบบ validator หรือ relayer และความล้มเหลวของการตรวจสอบเชิงคริปโตกราฟี แต่ละประเภทต้องการท่าทีป้องกันที่ต่างกันไป นี่คือเหตุผลว่าทำไมไม่มี “วิธีแก้เดียว” ที่ใช้ได้กับดีไซน์สะพานทุกแบบ

ช่องโหว่ smart contract เป็นหมวดที่คนคุ้นเคยมากที่สุด

ฟังก์ชันที่ประมวลผลข้อความขาเข้าอาจไม่ตรวจสอบให้ครบถ้วนว่าข้อความข้ามเชนได้รับการลงนามจากผู้มีอำนาจที่ถูกต้องจริงหรือไม่ การโจมตี Wormhole ในเดือนกุมภาพันธ์ 2022 ที่ทำให้สูญเงิน 320 ล้านดอลลาร์ เกิดจากจุดอ่อนนี้โดยตรง ผู้โจมตีหาวิธีปลอมลายเซ็นของ guardian ให้ดูเหมือนถูกต้อง ทำให้ผ่านการตรวจสอบลายเซ็นที่ควรจะป้องกันไม่ให้มีการ mint โทเค็นบน Solana (SOL) ได้สำเร็จ

รายงานความปลอดภัยประจำปี 2025 ของ Certik ระบุว่าความล้มเหลวในการตรวจสอบ input ยังคงเป็นสาเหตุรากฐานที่พบบ่อยที่สุดของการเจาะระบบ DeFi ทุกหมวดหมู่ สะพานยิ่งเสี่ยงมากขึ้นไปอีก เพราะ “พื้นที่ผิว” สำหรับประมวลผลข้อความของมันกว้างเป็นพิเศษ

ข้อมูลของ Immunefi ปี 2024 ระบุว่าสะพานและโปรโตคอลส่งข้อความข้ามเชนคิดเป็นความสูญเสียรวม 1.19 พันล้านดอลลาร์ของปีนั้น ทั้งที่มีสัดส่วนไม่ถึง 5% ของโปรโตคอลที่ถูกติดตามทั้งหมด

การโจมตีแบบเจาะ validator มีโครงสร้างต่างออกไป สะพาน Ronin ที่ใช้ในเกม Axie Infinity อาศัย validator node 9 ตัว โดยต้องการลายเซ็น 5 ตัวในการอนุมัติการถอน ผู้โจมตีสามารถเจาะ node ได้ 5 ตัว ซึ่ง 4 ตัวเป็นของ Sky Mavis และอีก 1 ตัวเป็นของ DAO ของ Axie ภายในช่วงเวลาไม่กี่วัน โดยเครือข่ายไม่ตรวจพบอะไร ความสูญเสีย 624 ล้านดอลลาร์ถูก ค้นพบ ช้าไปถึงห้าวัน เมื่อมีผู้ใช้รายงานว่าไม่สามารถถอนเงินได้ เหตุการณ์นี้ยังคงเป็นการเจาะระบบ DeFi ที่มีมูลค่าสูงสุดเท่าที่เคยมีมา

อ่านเพิ่มเติม: AI Adoption Index Crowns Nvidia, Amazon, Meta And Schlumberger

ภูมิทัศน์เหตุการณ์เดือนพฤษภาคม 2026 และสิ่งที่มันบอกเรา

ตัวเลขในเดือนพฤษภาคม 2026 มีความสำคัญไม่ใช่เพราะเป็นสถิติสูงสุดใหม่ แต่เพราะมันสะท้อน “ค่าเบสไลน์” ที่ยังคงอยู่ แม้จะผ่านมาหลายปีที่อุตสาหกรรมอ้างว่าพัฒนาความปลอดภัยแล้วก็ตาม

ยอดความสูญเสียรวมราว 70 ล้านดอลลาร์ในเดือนนั้น โดยที่สะพานข้ามเชนคิดเป็น 28.6 ล้านดอลลาร์ หรือ 42% ตาม รายงาน ข้อมูลเหตุการณ์ในเดือนพฤษภาคม สะท้อนรูปแบบเดียวกับปีก่อน ๆ ทั้งที่นี่คือภาคส่วนที่อ้างว่าศึกษาบทเรียนจากความผิดพลาดมาแล้ว

ตัวเลขในเดือนพฤษภาคมยังมาในช่วงหลังจากที่ยอดมูลค่ารวมที่ถูกบริดจ์ (bridge TVL) เติบโตอย่างมาก

DefiLlama ติดตาม ปริมาณธุรกรรมสะพานข้ามเชนรวม และพบว่าปริมาณธุรกรรมต่อเดือนมักเกิน 10,000 ล้านดอลลาร์ในคอร์ริดอร์หลัก เมื่อ “ตัวหาร” ของมูลค่าที่ถูกบริดจ์เติบโตเร็วกว่าโครงสร้างพื้นฐานด้านความปลอดภัย ความเสี่ยงเชิงมูลค่าเงินดอลลาร์แบบสัมบูรณ์ต่อการถูกโจมตีก็จะเพิ่มขึ้นไปด้วย — แม้อัตราส่วนเปอร์เซ็นต์ของเงินที่ถูกขโมยจะคงเดิมก็ตาม

นี่คือ “ปัญหาเครื่องวิ่งลู่” (treadmill problem)

อุตสาหกรรมกำลังวิ่งเร็วขึ้น แต่ไม่ได้ทิ้งระยะห่างจากความเสี่ยงไปมากนัก

ในเดือนพฤษภาคม 2026 สะพานคิดเป็น 42% ของความสูญเสียจากการเจาะระบบคริปโตทั้งหมด ทั้งที่ถือมูลค่า TVL ของ DeFi เพียงบางส่วน และอัตราส่วนนี้ก็ทรงตัวในระดับสูงมาตั้งแต่ปี 2022

สิ่งที่ทำให้ช่วงปัจจุบันต่างจากจุดพีกในปี 2022 คือ “โปรไฟล์ของผู้โจมตี” Lazarus Group หน่วยแฮ็กที่เชื่อมโยงกับรัฐเกาหลีเหนือ ถูก FBI ระบุ ว่าอยู่เบื้องหลังการขโมย Harmony Horizon bridge ในปี 2022 และถูกเชื่อมโยงกับเหตุการณ์ต่อ ๆ มา

ผู้โจมตีในระดับรัฐมีทรัพยากร ความอดทน และความรัดกุมด้านปฏิบัติการที่ต่างอย่างสิ้นเชิงจากผู้แฮ็กโปรโตคอลทั่วไป ความสนใจอย่างต่อเนื่องของพวกเขาที่มีต่อ “สะพาน” สะท้อนให้เห็นว่าหมวดหมู่นี้ยังคงให้ “มูลค่าสูงต่อหนึ่งครั้งการโจมตี” อยู่

อ่านเพิ่มเติม: North Korea Drained $577M From Global Crypto Theft In 2026 So Far

สเปกตรัมของสมมติฐานด้านความเชื่อถือ: จาก multisig ถึง ZK proof

นักวิจัยด้านความปลอดภัยและผู้ออกแบบโปรโตคอลมักวิเคราะห์สถาปัตยกรรมสะพานตาม “สเปกตรัมของสมมติฐานด้านความเชื่อถือ” ปลายด้านหนึ่งคือสะพานแบบ multisig หรือ validator-set ที่พึ่งพากลุ่มโหนดที่มีมนุษย์ปฏิบัติการจำนวนไม่กี่ราย อีกปลายด้านหนึ่งคือสะพานแบบ native cryptographic ที่พึ่งพาหลักฐานเชิงคณิตศาสตร์แทน “ความซื่อสัตย์ของมนุษย์” ระยะห่างระหว่างสองจุดนี้แทบจะซ้อนทับกับระยะห่างระหว่าง “ดีไซน์ที่เปราะบางที่สุด” และ “ดีไซน์ที่ปลอดภัยที่สุด”

Polynya นักวิจัย Ethereum ในนามแฝง และนักวิจัยสาย rollup คนอื่น ๆ ได้ โต้แย้ง ว่าวิธีออกแบบสะพานที่น่าเชื่อถือระยะยาวแบบเดียวคือดีไซน์ที่ใช้ validity proof ทำให้เชนปลายทางสามารถตรวจสอบ state ของเชนต้นทางได้แบบคริปโตกราฟี โดยไม่ต้องเชื่อถือคนกลางใด ๆ zero-knowledge proof โดยเฉพาะ zk-SNARK และ zk-STARK ทำให้สิ่งนี้เป็นไปได้เชิงเทคนิค สะพานแบบ ZK จะสร้าง proof แบบย่อ (succinct) ว่าธุรกรรมหนึ่งถูกบรรจุในบล็อกที่ finalized บนเชนต้นทาง เชนปลายทางตรวจสอบ proof นั้นโดยตรงในตัวเอง โดยไม่ต้องอาศัยชุด validator ภายนอก

สะพานแบบ light client ที่ใช้ ZK ลดสมมติฐานด้านความเชื่อถือให้เหลือเพียง “ความปลอดภัยเชิงคริปโตกราฟีของตัวระบบ proof” เอง ตัดความจำเป็นต้องมีชุด validator ที่มีมนุษย์ปฏิบัติการซึ่งมักเป็นพื้นผิวโจมตีหลักของการแฮ็กสะพานครั้งใหญ่ในอดีต

ข้อจำกัดเชิงปฏิบัติคือ “ต้นทุนการคำนวณ” การสร้าง ZK proof สำหรับฉันทามติของเชนอย่าง Ethereum ต้องพิสูจน์การรวมลายเซ็น BLS12-381 ที่ใช้ใน beacon chain ของ Ethereum ซึ่งจนกระทั่งไม่นานมานี้ยังต้องใช้เวลาสร้าง proof หลายนาทีและต้องใช้ฮาร์ดแวร์ระดับสูง โปรเจ็กต์อย่าง Succinct Labs, =nil; Foundation และ Electron Labs กำลังเร่งพัฒนาสิ่งนี้ Succinct กับ SP1 ของพวกเขา... prover, described in its technical documentation, targets proof generation times measured in seconds for standard EVM blocks, a meaningful step toward practical deployment.

อ่านเพิ่มเติม: Sui Crashes Third Time In 48 Hours, Wiping Out $1.88M In Trades

สะพานแบบ Optimistic: จุดกึ่งกลางที่มีพื้นผิวการโจมตีของตัวเอง

ระหว่างความปลอดภัยสูงของสะพานแบบ ZK และความปลอดภัยต่ำของดีไซน์แบบชุดตัวตรวจสอบ (validator set) มีคลาสของสะพานแบบ optimistic ซึ่งจำลองตามตรรกะ fraud-proof แบบเดียวกับที่อยู่เบื้องหลัง optimistic rollup สะพานแบบ optimistic จะประมวลผลข้อความข้ามเชนทันที แต่มีช่วงเวลาให้ท้าทาย (challenge window) โดยปกติประมาณเจ็ดวัน ซึ่งในช่วงเวลานี้บุคคลใดก็ได้สามารถยื่น fraud proof เพื่อแสดงให้เห็นว่าข้อความที่ถูกส่งต่อนั้นไม่ถูกต้อง หากไม่มีการท้าทายที่สำเร็จ ข้อความจะถูกยอมรับว่าเป็นที่สุด (final)

Connext, Across Protocol และเลเยอร์ส่งข้อความ Nomad (ก่อนการถูกโจมตีในปี 2022) ต่างก็ใช้รูปแบบของการยืนยันแบบ optimistic เหตุผลด้านความปลอดภัยคือผู้สังเกตการณ์ที่ซื่อสัตย์เพียงคนเดียวที่ใดก็ได้ในโลก ก็สามารถป้องกันไม่ให้ข้อความที่เป็นการฉ้อโกงถูกทำให้เสร็จสิ้นได้ ในทางทฤษฎีนี่ถือว่าแข็งแรงมาก ในทางปฏิบัติแล้วมันขึ้นกับว่าเหล่าผู้สังเกตการณ์เฝ้าระบบอย่างน่าเชื่อถือหรือไม่ และกลไก fraud-proof เองถูกนำไปใช้อย่างถูกต้องหรือไม่

ความปลอดภัยของสะพานแบบ optimistic จะพังทลาย หากหน้าต่างเวลา fraud-proof ไม่ถูกเฝ้าระวัง หากกลไกการส่ง fraud-proof มีบั๊ก หรือหากผู้สังเกตการณ์ถูกบีบบังคับทางเศรษฐกิจให้ไม่ลงมือทำใด ๆ ระหว่างช่วงเวลา challenge

การโจมตี Nomad ในเดือนสิงหาคม 2022 ที่สร้างความเสียหาย 190 ล้านดอลลาร์นั้น ไม่ใช่การโจมตีตัวกลไก optimistic โดยตรง แต่เป็นบั๊กในสมาร์ตคอนแทรกต์แบบตรงไปตรงมา การอัปเกรดตามปกติตั้งค่า trusted root เป็นศูนย์ หมายความว่าข้อความใด ๆ ก็สามารถถูกเล่นซ้ำให้เป็นข้อความที่ถูกต้องได้ เมื่อผู้โจมตีรายแรกค้นพบช่องโหว่ ดังกล่าว ก็มีธุรกรรมเลียนแบบตามมาอีกนับร้อยภายในไม่กี่ชั่วโมง ในสิ่งที่นักวิจัยเรียกว่า “free-for-all” แบบฉวยโอกาส ซึ่งดูดสภาพคล่องออกจากสะพานไปเกือบหมด เหตุการณ์นี้แสดงให้เห็นว่าความปลอดภัยแบบ optimistic จะแข็งแรงได้ก็เท่ากับส่วนประกอบอื่นทั้งหมดในสแตกที่มันพึ่งพาอยู่เท่านั้น

อ่านเพิ่มเติม: Bonk Eyes A Return To Top-100 As Meme Coin Season Gains Volume

เศรษฐศาสตร์ของตัวตรวจสอบ และความล้มเหลวด้านแรงจูงใจที่หัวใจของความปลอดภัยสะพาน

แม้แต่สะพานแบบ validator set ที่ออกแบบมาดีก็ยังเผชิญกับปัญหาเชิงโครงสร้างด้านเศรษฐศาสตร์ ตัวตรวจสอบจะได้รับค่าธรรมเนียมจากการส่งต่อข้อความ และอาจถูกหักเงินประกัน (slashing) หรือเสียชื่อเสียงหากประพฤติตนอย่างเป็นอันตราย แต่รายได้จากค่าธรรมเนียมมักมีขนาดเล็กเมื่อเทียบกับมูลค่าที่ไหลผ่านสะพาน ในขณะที่ผลประโยชน์ที่เป็นไปได้จากการโจมตีแบบประสานงานบนสะพานที่มี TVL สูงอาจมีมูลค่ามหาศาล ความไม่สมดุลนี้ไม่ใช่เรื่องเฉพาะของสะพาน แต่รุนแรงเป็นพิเศษในสถาปัตยกรรมสะพาน เพราะการกระทำที่ประสานกันเพียงครั้งเดียวข้ามตัวตรวจสอบจำนวนหนึ่งที่เป็นเกณฑ์ ก็สามารถดูดสินทรัพย์ทั้งหมดในพูลที่ถูกล็อกออกไปได้

งานวิชาการเกี่ยวกับปัญหานี้รวมถึงงานวิจัยปี 2023 โดยนักวิจัยจาก IC3 หรือ Initiative for CryptoCurrencies and Contracts ซึ่งได้สร้างแบบจำลอง พฤติกรรมที่มีเหตุผลของตัวตรวจสอบในระบบส่งข้อความข้ามเชน การวิเคราะห์ของพวกเขาพบว่า เมื่อเกณฑ์สินบนที่ต้องใช้ในการทำให้ชุดตัวตรวจสอบเสียหายต่ำกว่ามูลค่าของสินทรัพย์ที่สามารถถูกขโมยได้ ระบบจะไม่มีความปลอดภัยทางเศรษฐกิจไม่ว่าดีไซน์เชิงคริปโตกราฟีจะดีเพียงใดก็ตาม สำหรับสะพานที่ป้องกันสินทรัพย์มูลค่าหลายร้อยล้านดอลลาร์โดยมีชุดตัวตรวจสอบที่ได้รับผลตอบแทนรายปีเพียงไม่กี่เปอร์เซ็นต์จากหลักประกันที่นำไป stake เกณฑ์ดังกล่าวถูกทำลายลงเป็นประจำ

นักวิจัย IC3 พบว่าสะพานแบบ validator set จะไม่มีความปลอดภัยทางเศรษฐกิจทุกครั้งที่ต้นทุนในการทำให้ตัวตรวจสอบจำนวนหนึ่งถึงเกณฑ์เกิดความเสียหาย ต่ำกว่ามูลค่าของสินทรัพย์ที่สะพานคุ้มครอง ซึ่งเป็นเงื่อนไขที่เกิดขึ้นบ่อยในทางปฏิบัติ

ผลลัพธ์เชิงปฏิบัติคือ ขนาดของชุดตัวตรวจสอบมีความสำคัญน้อยกว่าความสัมพันธ์ทางเศรษฐกิจระหว่างหลักประกันของตัวตรวจสอบกับ TVL ของสะพาน มัลติซิกแบบ 19-of-21 ที่คุ้มครอง TVL มูลค่า 500 ล้านดอลลาร์ แต่ต้องใช้เพียง 5 ล้านดอลลาร์ของ stake ที่สามารถถูกหักได้เพื่อให้ถูกเจาะ ถือว่ามีความปลอดภัยเชิงโครงสร้างน้อยกว่ามัลติซิกแบบ 3-of-5 ที่คุ้มครอง 1 ล้านดอลลาร์แต่มี stake มูลค่า 10 ล้านดอลลาร์หนุนหลังตัวตรวจสอบแต่ละราย วงการนี้ตอบสนองต่อกรอบคิดนี้ค่อนข้างช้า โดยการถกเถียงเรื่องความปลอดภัยของสะพานส่วนใหญ่มักมุ่งไปที่จำนวนตัวตรวจสอบ แทนที่จะเป็นอัตราส่วนความปลอดภัยทางเศรษฐกิจ

อ่านเพิ่มเติม: Cognition Raises $1 Billion At $26 Billion Valuation For Its AI Coding Agent Platform

(Image: Shutterstock)

ความครอบคลุมของการตรวจสอบโค้ด และความมั่นใจลวง ๆ จากใบรับรองหลังดีพลอย

สะพานหลักทุกตัวที่เคยถูกโจมตีเคยผ่านการตรวจสอบโค้ด (audit) มาแล้ว Wormhole เคยถูกตรวจสอบ Ronin เคยถูกตรวจสอบ Nomad เคยถูกตรวจสอบ ข้อสังเกตนี้ไม่ใช่การโจมตีบริษัท audit แต่เป็นการชี้แจงว่าการ audit ให้สิ่งใดจริง ๆ การตรวจสอบสมาร์ตคอนแทรกต์คือการทบทวนโค้ด ณ ช่วงเวลาหนึ่งของโค้ดในสภาพที่มีอยู่ ณ ขณะตรวจสอบเท่านั้น ไม่ใช่การรับประกันว่าโค้ดจะยังคงปลอดภัยต่อไปท่ามกลางการอัปเกรด การเปลี่ยน dependency หรือเวกเตอร์การโจมตีแบบใหม่ที่ถูกค้นพบหลังจากนั้น

Trail of Bits หนึ่งในบริษัทความปลอดภัยที่ได้รับความเคารพมากที่สุดในวงการ ได้เผยแพ่งานวิจัย ระบุว่าความครอบคลุมของ audit สำหรับโปรโตคอล cross-chain ที่ซับซ้อนนั้นถูกจำกัดเชิงโครงสร้างจากความยากในการจำลองพฤติกรรมผู้โจมตีข้ามสองสภาพแวดล้อมการประมวลผลที่เป็นอิสระจากกัน ผู้ตรวจสอบที่ตรวจฝั่งคอนแทรกต์บน Ethereum ของสะพาน อาจไม่สามารถมองเห็นได้อย่างครบถ้วนว่าคอนแทรกต์เหล่านั้นโต้ตอบกับลอจิกบนเชนปลายทางที่ใช้ virtual machine คนละแบบและมีสมมติฐานเรื่อง finality ต่างกันอย่างไร

นักวิจัยจาก Trail of Bits ได้บันทึกไว้ว่าการ audit โปรโตคอลแบบ multi-chain ทำได้ยากกว่าการ audit แบบ single-chain อย่างเป็นระบบ เพราะพื้นผิวการโจมตีรวมถึงปฏิสัมพันธ์ระหว่างสภาพแวดล้อม ไม่ใช่เพียงแต่ละสภาพแวดล้อมแยกกัน

ปัญหาการอัปเกรดหลัง audit ก็รุนแรงไม่แพ้กัน การโจมตี Nomad ถูกจุดชนวนไม่ใช่โดยโค้ดที่มีอยู่ในขณะถูก audit แต่โดยพารามิเตอร์ตัวหนึ่งที่ถูกตั้งค่าระหว่างการอัปเกรดภายหลัง การอัปเกรดนั้นเองก็ผ่านการ audit แล้ว แต่ผลลัพธ์ของการตั้งค่านั้นให้เป็นศูนย์กลับไม่ถูกระบุ นี่คือประเภทของข้อผิดพลาดที่การตรวจพิสูจน์เชิงรูปแบบ (formal verification) ซึ่งต่างจากการ audit ด้วยมือ มีศักยภาพในการจับได้ดีกว่า Certora และ Runtime Verification ต่างก็พัฒนาชุดเครื่องมือ formal verification สำหรับคอนแทรกต์ EVM และการใช้งานในโค้ดเบสของสะพานก็เพิ่มขึ้น แต่ยังห่างไกลจากการใช้กันอย่างแพร่หลาย

อ่านเพิ่มเติม: Sui Foundation Blames Upgrade Bugs For Three Costly Outages

เลเยอร์โปรโตคอล Interoperability: แทนที่สะพานเฉพาะกิจด้วยโครงสร้างพื้นฐานร่วม

คำตอบด้านสถาปัตยกรรมต่อการเพิ่มจำนวนของสะพานเฉพาะกิจที่เปราะบาง คือการแทนที่ด้วยโครงสร้างพื้นฐานส่งข้อความข้ามเชนแบบแชร์ที่สะพานในเลเยอร์แอปพลิเคชันจำนวนมากสามารถมาสร้างต่อยอดได้ เหตุผลคือการรวมการลงทุนด้านความปลอดภัย ความครอบคลุมของ audit และความเข้มงวดเชิงคริปโตกราฟีไว้ในเลเยอร์ส่งข้อความที่มีทรัพยากรดีเพียงเลเยอร์เดียว จะช่วยลดความเสี่ยงเชิงระบบโดยรวม เมื่อเทียบกับการมีสัญญาสะพานที่ดีพลอยเดี่ยว ๆ หลายสิบตัวซึ่งแต่ละตัวมีพื้นผิวการโจมตีของตัวเอง

LayerZero และ Wormhole (ซึ่งสร้างใหม่อย่างมีนัยสำคัญหลังการถูกโจมตีในปี 2022) เป็นตัวอย่างของแนวทางนี้ โปรโตคอลของ LayerZero ที่อธิบายไว้ใน whitepaper แยกฟังก์ชัน oracle (ส่ง block header) ออกจากฟังก์ชัน relayer (ส่งหลักฐานของธุรกรรม) และต้องการให้ทั้งสองสมรู้ร่วมคิดกันเพื่อปลอมข้อความ วิธีนี้ช่วยลดแต่ไม่ลบล้างสมมติฐานด้านความไว้วางใจทั้งหมด Chainlink’s CCIP (Cross-Chain Interoperability Protocol) เพิ่มเลเยอร์ที่สามคือโหนดจัดการความเสี่ยงนอกเชน โดยมีภารกิจเฉพาะในการจำกัดอัตราและตรวจจับความผิดปกติในการไหลของข้อความข้ามเชน

สถาปัตยกรรมที่แยก oracle กับ relayer ของ LayerZero ต้องการให้ทั้ง oracle และ relayer สมรู้ร่วมคิดกันจึงจะปลอมข้อความข้ามเชนได้ ซึ่งเพิ่มต้นทุนการโจมตีเมื่อเทียบกับดีไซน์แบบ validator set เดียว แต่ก็ยังคงต้องพึ่งพาสมมติฐานด้านความไว้วางใจภายนอก

ข้อโต้แย้งกลับคือความเสี่ยงจากการกระจุกตัว หากโปรโตคอลส่งข้อความข้ามเชนเพียงตัวเดียวประมวลผลธุรกรรมสะพานส่วนใหญ่ทั้งหมด ช่องโหว่ที่สำคัญในโปรโตคอลนั้นจะกลายเป็นความเสี่ยงเชิงระบบสำหรับทั้งอีโคซิสเต็มได้ทันที นี่คล้ายกับความกังวลเกี่ยวกับไลบรารีซอฟต์แวร์ที่ใช้กันอย่างแพร่หลายในคอมพิวเตอร์แบบดั้งเดิม โมเดล Interchain Security ที่พัฒนาในอีโคซิสเต็ม Cosmos (ATOM) เลือกแนวทางที่ต่างออกไป โดยแชร์ชุดตัวตรวจสอบข้ามเชนแอปพลิเคชันภายในเขตความไว้วางใจที่กำหนด แทนที่จะสร้างโครงสร้างพื้นฐานส่งข้อความแบบ general-purpose ระหว่างเชนที่แตกต่างกัน

อ่านเพิ่มเติม: NVIDIA Launches Cosmos 3, An Open Physical AI Model Built On Mixture-of-Transformers

ประกัน การล่าบั๊ก และการลดความเสี่ยงด้วยกลไกตลาด

ในขณะที่ชุมชนวิศวกรรมทำงานบนวิธีแก้เชิงสถาปัตยกรรม อีกชุดหนึ่งของกลไกตลาดก็เกิดขึ้นมาเพื่อดูดซับความสูญเสียจากการถูกโจมตีสะพานเมื่อมันเกิดขึ้น โปรโตคอลประกันแบบออนเชน โปรแกรม bug bounty และผลิตภัณฑ์คุ้มครองเฉพาะสะพานเติบโตอย่างมากนับตั้งแต่คลื่นการโจมตีในปี 2022 แม้ว่าความสามารถรวมกันของสิ่งเหล่านี้ยังเล็กเมื่อเทียบกับ TVL รวมของสะพานทั้งหมด

Immunefi กลายเป็นแพลตฟอร์มหลักสำหรับโปรแกรม bug bounty ในคริปโต ข้อมูลบนกระดานผู้นำ แสดงให้เห็นว่ามูลค่าบั๊กบาวน์ตีที่จ่ายทั้งหมดข้ามทุกโปรแกรมเกิน 100 ล้านดอลลาร์สะสมภายในปี 2025 โดยโปรโตคอลสะพานเสนอรางวัลเดี่ยวที่มีมูลค่าสูงที่สุดบางส่วน

โปรแกรม bug bounty ของ Wormhole ให้รางวัลสูงสุดถึง 2.5 ล้านดอลลาร์สำหรับช่องโหว่ระดับวิกฤต LayerZero ก็เคยเสนอเพดานสูงสุดในระดับใกล้เคียงกัน โปรแกรมเหล่านี้สร้างแรงจูงใจให้…แรงจูงใจทางการเงินสำหรับนักวิจัยสาย white-hat ให้ค้นหาและเปิดเผยช่องโหว่อย่างมีความรับผิดชอบ แทนที่จะนำไปใช้โจมตี

แพลตฟอร์มของ Immunefi อำนวยความสะดวกให้มีการจ่ายเงินรางวัลบั๊กบาวน์ตีสะสมแล้วมากกว่า 100 ล้านดอลลาร์สหรัฐ แต่โปรโตคอลสะพานข้ามเชน (bridge) ยังคงมีการประกันภัยที่ต่ำกว่าความเสี่ยงตามมูลค่า TVL อย่างเป็นระบบ ทำให้เงินหลายร้อยล้านดอลลาร์สหรัฐของความสูญเสียที่อาจเกิดขึ้นไม่ได้รับความคุ้มครอง

โปรโตคอลประกันภัยบนเชน เช่น Nexus Mutual และ Unslashed Finance มีการเสนอความคุ้มครองแบบพาราเมตริกสำหรับกรณีสะพานถูกโจมตี แต่ความสามารถในการรับประกันโดยรวมของโปรโตคอลเหล่านี้ยังมีขนาดเล็กกว่ามูลค่า TVL ในสัญญา bridge หลัก ๆ อย่างมีนัยสำคัญ ข้อมูลที่ เผยแพร่ ของ Nexus Mutual แสดงให้เห็นว่ามูลค่าที่ได้รับความคุ้มครองจากกรมธรรม์ที่ยังใช้งานทั้งหมดมีเพียงส่วนเล็ก ๆ เมื่อเทียบกับ TVL รวมของ DeFi สำหรับผู้ใช้ bridge นั่นหมายความว่าในทางปฏิบัติ ส่วนใหญ่ของเงินทุนที่เคลื่อนผ่านสะพานยังไม่ได้รับการประกันจากความสูญเสียที่มาจากการถูกโจมตี ช่องว่างระหว่างขนาดของกิจกรรมบนสะพานกับระดับความพัฒนาของโครงสร้างพื้นฐานด้านความคุ้มครองถือเป็นความล้มเหลวของตลาดที่สำคัญ ซึ่งยังไม่มีทางออกในระดับที่ใหญ่พอ

Also Read: ETH Loses Its Last Floor And Stares Down A Drop Toward $1,800

ระบบนิเวศของสะพานที่ปลอดภัยยิ่งขึ้นควรมีหน้าตาอย่างไร

งานวิจัยและข้อมูลเหตุการณ์ตลอดสี่ปีที่ผ่านมา ชี้ไปในทิศทางเดียวกันเกี่ยวกับภาพของโครงสร้างพื้นฐานข้ามเชนที่ปลอดภัยกว่า แม้ว่าเส้นทางไปสู่จุดนั้นอาจต้องใช้เวลาอีกหลายปีกว่าจะบรรลุได้เต็มรูปแบบ ภาพดังกล่าวประกอบด้วยการเปลี่ยนแปลงที่ทับซ้อนกันสามประการ: การย้ายจากชุดตัวตรวจสอบ (validator) ภายนอกไปสู่การยืนยันด้วยวิธีเข้ารหัสเชิงคริปโต (cryptographic verification), การย้ายจากสัญญา bridge แบบเฉพาะกิจ (bespoke) ไปสู่เลเยอร์ส่งข้อความข้ามเชนแบบมาตรฐาน และการย้ายจากการอุดช่องโหว่แบบตั้งรับ ไปสู่การพิสูจน์ความถูกต้องแบบเป็นทางการ (formal verification) และการมอนิเตอร์อย่างต่อเนื่องเชิงรุก

สะพานแบบ light client ที่ใช้ ZK เป็นสถาปัตยกรรมระยะยาวที่มีความน่าเชื่อถือทางเทคนิคมากที่สุด โปรเจกต์อย่าง Electron Labs (ซึ่งสร้างหลักฐาน ZK ของกลไกฉันทามติของ Ethereum เพื่อนำไปใช้ในระบบนิเวศของ NEAR Protocol (NEAR)) Polyhedra Network และ Succinct Labs ต่างก็กำลังพัฒนาเทคโนโลยี prover ที่จำเป็นต่อการทำให้สะพาน ZK สามารถใช้งานได้จริงในระดับเศรษฐกิจ Succinct ได้เปิดตัว SP1 zkVM ในปี 2024 ซึ่งแสดงให้เห็นว่าการสร้างหลักฐาน ZK ของการประมวลผลบน EVM สามารถทำได้ด้วยฮาร์ดแวร์ทั่วไปในเวลาเกือบเรียลไทม์ ซึ่งเป็นตัวชี้วัดที่สำคัญที่ไม่สามารถทำได้เมื่อสองปีก่อนหน้านั้น

ตัว prover SP1 ของ Succinct Labs แสดงให้เห็นในปี 2024 ว่าหลักฐาน ZK ของการประมวลผลบน EVM สามารถถูกสร้างขึ้นด้วยฮาร์ดแวร์ทั่วไปในเวลาเกือบเรียลไทม์ ซึ่งเป็นหมุดหมายทางเทคนิคที่ทำให้สะพานแบบ ZK light client สามารถนำมาใช้ได้จริงเป็นครั้งแรกในระดับการใช้งานโปรดักชัน

ควบคู่ไปกับความก้าวหน้าทางคริปโตกราฟี อุตสาหกรรมยังต้องการโครงสร้างพื้นฐานสำหรับการมอนิเตอร์แบบเรียลไทม์ที่สามารถตรวจจับรูปแบบข้อความข้ามเชนที่ผิดปกติได้ก่อนที่เงินทุนจะถูกดูดออกไปจนหมด Forta Network และ Chainalysis KYT ต่างก็มีเครื่องมือมอนิเตอร์บนเชน และมีโปรโตคอลสะพานหลายรายที่ได้ติดตั้งระบบตัดวงจรอัตโนมัติ (circuit breaker) ที่หยุดการถอนเงินเมื่อเกินค่าที่กำหนดไว้ โดยรอการตรวจสอบแบบแมนนวล ช่องว่างการตรวจพบการโจมตี Ronin เป็นเวลา 5 วันถือว่าผิดปกติแม้ในมาตรฐานปี 2022 และด้วยเครื่องมือมอนิเตอร์ในปัจจุบัน ก็คาดว่าจะตรวจจับความผิดปกติขนาดใหญ่เช่นนั้นได้รวดเร็วกว่ามาก แต่การตรวจจับการโจมตีสะพานแบบอัตโนมัติก็ยังช้ากว่าความเร็วที่ผู้โจมตีขั้นสูงสามารถดูดเงินจากสัญญาได้ทันทีที่พวกเขาค้นพบช่องโหว่

Read Next: Arthur Hayes Sees HYPE Clearing $150 And Eclipsing Solana

บทสรุป

การที่การโจมตีสะพานข้ามเชนยังคงเกิดขึ้นอย่างต่อเนื่อง ไม่ได้เป็นหลักฐานว่าปัญหานี้แก้ไม่ได้ แต่มันสะท้อนให้เห็นว่าสถาปัตยกรรมสะพานรุ่นปัจจุบันได้เลือกทำ “ดีลที่มองเห็นได้ชัดเจน” ระหว่างความปลอดภัยกับความเป็นไปได้ในการใช้งานจริง และดีลเหล่านั้นเองที่ถูกใช้เป็นช่องทางโจมตีในวงกว้าง

สัดส่วน 42% ของความสูญเสียจากการถูกโจมตีในเดือนพฤษภาคม 2026 ที่มาจากสะพาน สะท้อนถึงช่องโหว่เชิงโครงสร้าง ช่องโหว่หนึ่งที่รอดพ้นจากหลายรอบวัฏจักรตลาด หลายเหตุการณ์หายนะครั้งใหญ่ และหลายรอบของการอ้างว่าได้แก้ไขแล้ว

เส้นทางข้างหน้ามีอยู่จริง

สะพานแบบ ZK light client สามารถกำจัดสมมติฐานความเชื่อถือในตัวตรวจสอบภายนอก ซึ่งเป็นพื้นผิวการโจมตีในเหตุการณ์หลักส่วนใหญ่ โครงสร้างพื้นฐานการส่งข้อความข้ามเชนแบบใช้ร่วมกันสามารถทำให้การลงทุนด้านความปลอดภัยถูกใช้ได้อย่างมีประสิทธิภาพมากกว่าสัญญา bridge เฉพาะโปรโตคอล การพิสูจน์ความถูกต้องแบบเป็นทางการสามารถจับช่องโหว่ที่เกิดจากการอัปเกรด ซึ่งการตรวจสอบด้วยมนุษย์มักมองข้ามได้ โปรแกรมบั๊กบาวน์ตีสามารถเปลี่ยนผู้ที่อาจกลายเป็นผู้โจมตี ให้กลายเป็นนักวิจัยที่ได้รับค่าตอบแทนถูกต้องตามกฎหมาย และระบบตัดวงจร (circuit breaker) สามารถจำกัดความเสียหายได้ เมื่อมีช่องโหว่เล็ดรอดไปจนถูกใช้โจมตีจริง

มาตรการเหล่านี้ไม่มีข้อใดที่เพียงพอด้วยตัวเอง และยังไม่มีข้อใดที่ถูกนำไปใช้ในระดับที่ใหญ่พอจะลดอัตราการถูกโจมตีของหมวดนี้ได้อย่างมีนัยสำคัญ

มูลค่า TVL บนสะพานยังคงเติบโต มูลค่าเงินดอลลาร์ที่เสี่ยงต่อการสูญเสียยังคงเพิ่มขึ้น ความซับซ้อนของผู้โจมตีที่เล็งเป้าหมายมาที่หมวดนี้ก็ไม่ได้ลดลง

การสูญเสีย 28.6 ล้านดอลลาร์ในเดือนพฤษภาคม 2026 จึงไม่ใช่ “กระสุนนัดเตือน”

แต่มันคือจุดข้อมูลหนึ่งในเทรนด์ที่ดำเนินมาแล้วสี่ปี — เทรนด์ที่สถาปัตยกรรมสะพานรุ่นถัดไปมีชุดเครื่องมือทางเทคนิคเพียงพอที่จะหยุดมันได้ หากชุดเครื่องมือนั้นถูกนำมาใช้ด้วยความเร่งด่วนที่บันทึกความสูญเสียกำลังเรียกร้องอยู่

ข้อจำกัดความรับผิดชอบและคำเตือนความเสี่ยง: ข้อมูลที่ให้ไว้ในบทความนี้มีไว้เพื่อการศึกษาและการให้ข้อมูลเท่านั้น และอิงตามความเห็นของผู้เขียน ไม่ถือเป็นคำแนะนำทางการเงิน การลงทุน กฎหมาย หรือภาษี สินทรัพย์คริปโตมีความผันผวนสูงและมีความเสี่ยงสูง รวมถึงความเสี่ยงในการสูญเสียเงินลงทุนทั้งหมดหรือส่วนใหญ่ การซื้อขายหรือการถือครองสินทรัพย์คริปโตอาจไม่เหมาะสมสำหรับนักลงทุนทุกคน ความเห็นที่แสดงในบทความนี้เป็นของผู้เขียนเท่านั้น และไม่ได้แทนนโยบายหรือตำแหน่งอย่างเป็นทางการของ Yellow ผู้ก่อตั้ง หรือผู้บริหาร ควรทำการวิจัยอย่างละเอียดด้วยตนเอง (D.Y.O.R.) และปรึกษาผู้เชี่ยวชาญทางการเงินที่ได้รับใบอนุญาตก่อนตัดสินใจลงทุนใดๆ เสมอ
บทความการวิจัยที่เกี่ยวข้อง
อธิบายการเชื่อมคริปโต: ค่าธรรมเนียม, ความเสี่ยง, และทำไม UX ข้ามสาย ยังล้าหลังในปี 2025
Sep 24, 2025
แม้มีการพัฒนาที่มากมายแต่การเชื่อม สินทรัพย์ระหว่างบล็อคเชนยังคงซับซ้อน และค่าธรรมเนียมอาจสูงส่งผลต่อ ความพอใจของผู้ใช้
การซื้อขายออปชั่นใน DeFi ปี 2025: Lyra, Dopex, และ Panoptic กำลังเปลี่ยนแปลงพื้นที่อนุพันธ์อย่างไร
การซื้อขายออปชั่นใน DeFi ได้เปลี่ยนแปลงอย่างมากในปี 2025 โดยมีปริมาณออปชั่นบนเชนเพิ่มขึ้นกว่า 10 เท่า.
Claude Mythos และคริปโต: ภัยคุกคาม AI รูปแบบใหม่หมายถึงอะไรต่อการเทรด
Claude Mythos พบช่องโหว่ zero-day จำนวนมาก เสี่ยงเร่งการแฮ็กคริปโต อุตสาหกรรมต้องเร่งลงทุนป้องกัน โดยเฉพาะกระดานเทรดและ DeFi ขนาดเล็ก
การสื่อสารข้ามเชน: การเปรียบเทียบ IBC, Wormhole, LayerZero, CCIP และอื่นๆ
การเปลี่ยนแปลงพื้นฐานกำลังเปลี่ยนแปลง วิธีการที่สินทรัพย์ดิจิทัลและข้อมูลไหลเวียนไปทั่วเครือข่าย.
ทำไมการโจมตี DEX ทำให้สูญเงิน 3.1 พันล้านดอลลาร์ในปี 2025: วิเคราะห์ 12 แฮ็กครั้งใหญ่
Oct 27, 2025
วิเคราะห์แฮ็ก DEX 12 กรณีในปี 2025 มูลค่ารวมกว่า 3.1 พันล้านดอลลาร์ เจาะสาเหตุที่โปรโตคอลผ่านออดิตยังถูกเจาะ และทิศทางความปลอดภัย DeFi ต่อไป
เหตุใดสะพานข้ามเชนยังมีคนใช้ ทั้งที่ถูกดูดเงินออกซ้ำแล้วซ้ำเล่า? | Yellow.com